5 choses que j'ai apprises d'un ancien pirate informatique recherché par le FBI

En matière de cybersécurité, on dit souvent : "Pensez comme un attaquant". Mais peu d'entre nous ont la chance d'entendre directement quelqu'un qui a vécu cette vie - et l'a transformée.

Dans l'un des épisodes les plus inoubliables du Segment, j'ai rencontré Brett Johnson, surnommé le "parrain original de l'internet" par les services secrets américains.

Après avoir créé la première communauté organisée de cybercriminels et figuré sur la liste des personnes les plus recherchées par le FBI, Brett a refait sa vie et est aujourd'hui un interlocuteur de confiance pour les forces de l'ordre et les responsables de la sécurité.

Voici les cinq leçons que Brett a tirées de sa vie de criminel repenti et qui m'ont le plus marqué.

1. La perception est la nouvelle réalité

Au cœur du message de Brett se trouve une vérité qui fait froid dans le dos : "La vérité n'a pas d'importance. Ce qui compte, c'est ce dont je peux vous convaincre."

Il ne s'agit pas seulement d'une tactique criminelle, mais d'une préoccupation sociétale. Des courriels d'hameçonnage à la désinformation politique, la confiance est utilisée comme une arme. Et avec l'évolution rapide de la vidéo et de l'audio "deepfake", la frontière entre le vrai et le faux s'estompe rapidement.

Nous arrivons au point où les "deepfakes" seront en temps réel", a averti Brett.

Il a donné l'exemple d'une attaque où des acteurs malveillants peuvent se faire passer pour un PDG lors d'une vidéoconférence Zoom. Les salariés pensent qu'ils parlent au PDG en temps réel, mais ils sont en fait incités à envoyer de l'argent sur un autre compte bancaire.  

"C'est très efficace", a-t-il déclaré. "Et ça va marcher comme sur des roulettes."

Il s'agit donc de mettre en place des systèmes qui vérifient, et non qui supposent. La confiance zéro est un cadre de sécurité, mais c'est aussi un moyen de restaurer la confiance dans un monde de tromperie numérique.

Nous en arrivons au point où les "deepfakes" seront en temps réel.

2. Les criminels sont des opportunistes, pas des génies

Hollywood dépeint les pirates informatiques comme de brillants hors-la-loi. Brett voit les choses différemment.

"La plupart des attaques sont basées sur l'argent liquide et sont opportunistes", a-t-il expliqué. "Je cherche l'accès le plus facile qui me donne le plus grand retour sur cet investissement criminel.

C'est pourquoi l'hygiène cybernétique de base reste importante : corriger les vulnérabilités, sécuriser les informations d'identification, fermer les ports ouverts. Ces étapes ne sont pas tape-à-l'œil, mais elles sont souvent omises.

La sécurité ne doit pas nécessairement être coûteuse. Mais elle doit être cohérente.

3. La confiance se construit sur le comportement

Les attaquants savent que nous faisons confiance à nos appareils. Ils utilisent cette confiance contre nous.

"Nous faisons intrinsèquement confiance à nos téléphones portables, à nos ordinateurs portables et à nos ordinateurs de bureau", a déclaré M. Brett. "Nous faisons confiance aux sites web que nous visitons, ce qui tend à ouvrir la porte à la confiance.

Brett invite les personnes et les organisations à redéfinir la confiance dans nos systèmes numériques. Vérifiez le comportement, prêtez attention au contexte et concevez des systèmes qui ne reposent pas sur un seul signal de légitimité.

"Vous pouvez arrêter toutes les fraudes du monde. La seule chose à faire est de fermer le web", a-t-il plaisanté. "Vous voulez trouver un équilibre entre la sécurité et les frictions, mais cet équilibre doit absolument pencher en faveur de la sécurité.

4. Les pirates collaborent. Il en va de même pour les défenseurs.

L'une de ses critiques les plus acerbes ? "Les méchants sont plus doués que vous pour le partage et la collaboration", déclare-t-il.

Les cybercriminels échangent des outils, des tactiques et des conseils. Mais les défenseurs sont souvent cloisonnés par l'industrie, la concurrence ou la bureaucratie.

"Si je travaille dans un secteur particulier et que mon entreprise est victime d'un type d'attaque spécifique, le fait de partager ces informations permet aux autres acteurs du même secteur de se protéger avant d'être à leur tour pris pour cible", a-t-il déclaré.

En résumé, le paysage des menaces n'est pas cloisonné, et nos défenses ne doivent pas l'être non plus.

"Si je travaille dans un secteur particulier et que mon entreprise est victime d'un type d'attaque spécifique, le fait de partager cette information permet aux autres acteurs du même secteur de se protéger avant d'être à leur tour pris pour cible".

5. La confiance zéro est la façon de reconstruire la confiance

Brett estime que les contenus générés par l'IA, comme les "deepfakes", empêchent les gens de savoir à quoi se fier. Il est essentiel de faire preuve d'esprit critique et de rester sceptique en ligne. Mais les organisations doivent trouver des moyens de rétablir la confiance.

"Chaque nouvel engagement entre le client et l'organisation doit se faire dans une optique de confiance zéro ", recommande-t-il.  

Dans un monde où la perception peut être falsifiée en temps réel, la confiance ne peut être présumée. Il faut le mériter, encore et encore.

"Faites tout ce que vous pouvez en arrière-plan pour anticiper les risques de fraude, puis agissez à ce moment-là", a conseillé Brett.

La confiance zéro n'est pas seulement une stratégie technique. C'est une habitude quotidienne et un état d'esprit. Et dans ce contexte de menaces en constante évolution, c'est notre meilleure chance de rester préparés.

Écouter, s'abonner et commenter The Segment

Vous voulez en savoir plus sur Brett Johnson ? Retrouvez l'épisode complet de The Segment : Un podcast sur le leadership sans confiance sur notre site web, Apple Podcasts, Spotify, ou tout autre moyen d'écoute.